Surface d'attaque

La surface d'attaque est l'un des concepts les plus importants en sécurité, car elle définit où un attaquant peut agir. Chaque fonctionnalité que vous ajoutez à une application, chaque service que vous exposez et chaque compte que vous créez étend la surface d'attaque et crée un nouveau chemin à défendre. Vous ne pouvez pas protéger ce que vous n'avez pas cartographié, et c'est pourquoi comprendre et minimiser la surface d'attaque est un fondement essentiel, tant en attaque qu'en défense.

Pourquoi c'est important

Les systèmes modernes s'étalent. Un seul produit web peut s'exécuter sur des dizaines de sous-domaines, plusieurs versions d'API, des buckets de stockage cloud, des intégrations tierces et des applications mobiles, chacun ajoutant une nouvelle exposition. Les attaquants n'ont besoin que d'un seul point faible ; les défenseurs doivent tous les sécuriser. Cette asymétrie est précisément la raison pour laquelle une surface d'attaque plus petite et bien maîtrisée constitue l'une des positions défensives les plus solides qu'une organisation puisse tenir.

Pour les attaquants et les chasseurs de bugs (bug bounty), la logique s'inverse : plus vous cartographiez largement et précisément la surface d'attaque, plus vous disposez d'endroits à explorer que la foule n'a jamais trouvés. La plupart des bugs de valeur ne sont pas découverts grâce à des payloads ingénieux, mais en trouvant une partie oubliée de la surface d'attaque, une ancienne version d'API, un serveur de staging ou un endpoint non documenté, que personne d'autre n'avait cartographié.

Les trois couches de la surface d'attaque

En test d'applications web et d'API, la surface d'attaque numérique est ce que vous cartographiez en premier : l'ensemble des endpoints, des paramètres et des rôles utilisateur que vous pouvez atteindre. Mais les programmes de sécurité matures traitent les trois couches comme une seule surface continue, car les attaquants les enchaînent, par exemple en utilisant un e-mail de phishing (humain) pour déposer un malware sur un ordinateur portable (physique) qui pivote ensuite vers des API internes (numérique).

Comment la surface d'attaque est cartographiée

La cartographie est le cœur pratique de la reconnaissance. Pour une seule application, cela signifie :

• Créer des comptes et exploiter chaque fonctionnalité et chaque rôle utilisateur.
• Lire le JavaScript du frontend pour repérer les appels d'API, les chemins et les clés cachés.
• Énumérer les sous-domaines et les ports pour trouver des actifs au-delà du site principal.
• Trouver la documentation comme les fichiers Swagger ou OpenAPI qui révèlent des ensembles entiers d'endpoints.

Domaine de départ

→énumérer

Sous-domaines et ports

→explorer

Endpoints et paramètres

→cataloguer

Carte de la surface d'attaque

L'aide-mémoire OWASP sur l'analyse de la surface d'attaque est une référence solide pour procéder de manière systématique.

Réduire la surface d'attaque

Du point de vue défensif, la réduction de la surface d'attaque est l'une des activités à plus fort effet de levier qu'une équipe puisse mener :

• Supprimer les services, endpoints et anciennes versions d'API inutilisés.
• Fermer les ports inutiles et désactiver les comptes par défaut.
• Appliquer le moindre privilège pour qu'un seul compte compromis atteigne moins de choses.
• Valider toutes les entrées côté serveur et segmenter les réseaux.
• Adopter une gestion de la surface d'attaque (ASM) continue pour détecter automatiquement les actifs fantômes.

Que vous soyez en défense ou en attaque, le principe est le même : la surface d'attaque est la carte du champ de bataille. Les défenseurs gagnent en la réduisant et en la surveillant ; les attaquants gagnent en la cartographiant plus complètement que quiconque.